标签：威胁 info 情报 域名 biz org net com 作用

在安全事件中，威胁情报有时候会给我们提供大量有用的信息，甚至直接推动了安全事件的快速响应。

威胁情报的元素，包括但不限于域名、URL、IP、文件Hash、文件路径、文件名、数字签名、备案信息、排名信息。

威胁情报的获取源
谷歌：www.google.com
百度：www.baidu.com
Virustotal：www.virustotal.com
微步在线：x.threatbook.cn
腾讯哈勃：habo.qq.com
Virscan：virusscan.jotti.org
Freebuf：www.freebuf.com
Jotti：virusscan.jotti.org
Scandir：www.scandir.com
Alexa排名：www.alexa.com
备案查询：beian.cndns.com
深信服安全中心：sec.sangfor.com.cn
深信服威胁分析平台：wiki.sec.sangfor.com.cn
深信服EDR安全软件中心：edr.sangfor.com.cn

威胁情报中，域名扮演着极为基础和关键的角色，URL也是以域名为基础的。这里列举若干类域名，是属于黑客常用（偏爱）的域名，取证过程中需要重点关注这类域名的信息。

随机域名（DGA）：
内网IP利用特定的随机算法生成域名（DGA），同时黑客会利用该随机算法注册域名，这样就可以避免因为长期与某个域名或者IP通信而被封堵。

例如，内网某个源IP短时间内大量解析了如下域名（日志截图）

观察这些域名，可以发现，这些域名的“字符特征”看上去就是随机的。域名的发明（DNS）就是为了人类方便记忆而诞生的，所以，我们往往会去注册一些容易记忆且读起来朗朗上口的域名，显然例子中的域名就不具备这一特征。DGA这种反其道而行之的行为显然不是人访问网站发出来的，必然是病毒利用某种算法来实现的。

动态域名：
动态域名是子域名开放给其他人使用，并且子域名绑定的IP是可以动态获取的，大多数是免费的，因此常被黑客所使用，如 abc.3322.org （3322.org就是动态域名提供者，子域名abc.3322.org可以被别人所使用）。

常见的动态域名提供商：

‘f3322.net’,‘3322.org’,‘7766.org’,‘8866.org’,‘9966.org’,‘8800.org’,‘2288.org’,‘6600.org’, ‘f3322.org’, ‘ddns.net’,‘xicp.net’, ‘vicp.net’,‘wicp.net’,‘oicp.net’,‘xicp.net’,‘vicp.cc’,‘eicp.net’,‘uicp.cn’,‘51vip.biz’,‘xicp.cn’,‘uicp.net’,‘vicp.hk’,‘5166.info’,‘coyo.eu’,‘imblog.in’,‘imzone.in’,‘imshop.in’,‘imbbs.in’,‘imwork.net’,‘iego.cn’,‘vicp.co’,‘iego.net’,‘1366.co’,‘1866.co’,‘3utilities.com’,‘bounceme.net’,‘ddnsking.com’,‘gotdns.ch’,‘hopto.org’,‘myftp.biz’,‘myftp.org’,‘myvnc.com’,‘no-ip.biz’,‘no-ip.info’,‘no-ip.org’,‘noip.me’,‘redirectme.net’,‘servebeer.com’,‘serveblog.net’,‘servecounterstrike.com’,‘serveftp.com’,‘servegame.com’,‘servehalflife.com’,‘servehttp.com’,‘serveminecraft.net’,‘servemp3.com’,‘servepics.com’,‘servequake.com’,‘sytes.net’,‘webhop.me’,‘zapto.org’,‘dynamic-dns.net’,‘epac.to’,‘longmusic.com’,‘compress.to’,‘wikaba.com’,‘zzux.com’,‘dumb1.com’,‘1dumb.com’,‘onedumb.com’,‘wha.la’,‘youdontcare.com’,‘yourtrap.com’,‘2waky.com’,‘sexidude.com’,‘mefound.com’,‘organiccrap.com’,‘toythieves.com’,‘justdied.com’,‘jungleheart.com’,‘mrbasic.com’,‘mrbonus.com’,‘x24hr.com’,‘dns04.com’,‘dns05.com’,‘zyns.com’,‘my03.com’,‘fartit.com’,‘itemdb.com’,‘instanthq.com’,‘xxuz.com’,‘jkub.com’,‘itsaol.com’,‘faqserv.com’,‘jetos.com’,‘qpoe.com’,‘qhigh.com’,‘vizvaz.com’,‘mrface.com’,‘isasecret.com’,‘mrslove.com’,‘otzo.com’,‘sellclassics.com’,‘americanunfinished.com’,‘serveusers.com’,‘serveuser.com’,‘freetcp.com’,‘ddns.info’,‘ns01.info’,‘ns02.info’,‘myftp.info’,‘mydad.info’,‘mymom.info’,‘mypicture.info’,‘myz.info’,‘squirly.info’,‘toh.info’,‘xxxy.info’,‘freewww.info’,‘freeddns.com’,‘myddns.com’,‘dynamicdns.biz’,‘ns01.biz’,‘ns02.biz’,‘xxxy.biz’,‘sexxxy.biz’,‘freewww.biz’,‘www1.biz’,‘dhcp.biz’,‘edns.biz’,‘ftp1.biz’,‘mywww.biz’,‘gr8domain.biz’,‘gr8name.biz’,‘ftpserver.biz’,‘wwwhost.biz’,‘moneyhome.biz’,‘port25.biz’,‘esmtp.biz’,‘sixth.biz’,‘ninth.biz’,‘got-game.org’,‘bigmoney.biz’,‘dns2.us’,‘dns1.us’,‘ns02.us’,‘ns01.us’,‘almostmy.com’,‘ocry.com’,‘ourhobby.com’,‘pcanywhere.net’,‘ygto.com’,‘ddns.ms’,‘ddns.us’,‘gettrials.com’,‘4mydomain.com’,‘25u.com’,‘4dq.com’,‘4pu.com’,‘3-a.net’,‘dsmtp.com’,‘mynumber.org’,‘ns1.name’,‘ns2.name’,‘ns3.name’,‘changeip.name’,‘ddns.name’,‘rebatesrule.net’,‘ezua.com’,‘sendsmtp.com’,‘trickip.net’,‘trickip.org’,‘dnsrd.com’,‘lflinkup.com’,‘lflinkup.net’,‘lflinkup.org’,‘lflink.com’,‘dns-dns.com’,‘proxydns.com’,‘myftp.name’,‘dyndns.pro’,‘changeip.net’,‘mysecondarydns.com’,‘changeip.org’,‘dns-stuff.com’,‘dynssl.com’,‘mylftv.com’,‘mynetav.net’,‘mynetav.org’,‘ikwb.com’,‘acmetoy.com’,‘ddns.mobi’,‘dnset.com’,‘authorizeddns.net’,‘authorizeddns.org’,‘authorizeddns.us’,‘cleansite.biz’。
f3322.net、3322.org、7766.org等等这些就是动态域名提供商。

标签：威胁,info,情报,域名,biz,org,net,com,作用
来源： https://blog.csdn.net/weixin_43977912/article/details/117911886

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。